Privacyreglement Eben Haëzerschool en De Zaaier. Versie 2.0

(1)

Privacyreglement

Eben – Haëzerschool en De Zaaier

Versie 2.0

Vastgesteld door het bestuur: 25 juni 2019 Instemming oudergeleding 1 Juli 2019 Instemming personeelsgeleding 1 Juli 2019 Inwerkingtreding: 15 Juli 2019

(2)

© Het auteursrecht op dit privacyreglement berust bij Wille Donker advocaten. Zonder voorafgaande toestemming is kopiëren/verspreiden, al dan niet digitaal, voor andere doeleinden dan voor eigen gebruik niet toegestaan.

(3)

Inhoudsopgave

Begripsbepalingen 4

Reikwijdte en doelstelling van het reglement 7

Persoonsregistratie 8

De gegevens 9

Doelen en grondslagen van gegevensverwerking 10

Toegang tot persoonsgegevens 29

Rechten betrokkene(n): inzage, correctie, verzet 30

Wijzigingen 31

Bewaartermijnen 32

Beveiliging en geheimhouding 34

Beveiligingsincidenten 35

Informatieplicht 36

Het bestuur 37

De functionaris gegevensbescherming (FG) 38

De verwerker 39

Klachten 40

Inwerkingtreding, wijziging en citeertitel 41

Artikelsgewijze toelichting ten behoeve van de implementatie van het reglement 42

Bijlagenoverzicht 61

(4)

Begripsbepalingen

Voor de toepassing van dit reglement en de daarbij behorende bijlagen wordt verstaan onder:

a. Stichting: Stichting voor Chr. Bao. op Ger. grondslag voor Groningen en Drenthe b. verantwoordelijke: de Stichting;

c. bevoegd gezag: het toezichthoudend bestuur van de verantwoordelijke;

d. het toezichthoudend orgaan: het toezichthoudend bestuur (TB)

e. het directieberaad: de gezamenlijke directeuren van de scholen belast met de gemandateerde uitvoerende bestuurlijke taken

f. school: een school voor basisonderwijs of speciaal onderwijs als bedoeld in artikel 1 Wpo respectievelijk artikel 1 Wec en die in stand wordt gehouden door de Vereniging;

g. personeel:

 de bij het bevoegd gezag benoemde, directeur, (adjunct-) directeur of leraar, en overige medewerkers benoemd in een andere functie dan het geven van onderwijs, waaronder begrepen de leden van het bestuur van die scholen die zijn benoemd door een raad van toezicht als bedoeld in artikel 17c vierde lid Wpo respectievelijk artikel 28i vierde lid Wec, voor zover die leden mede zijn benoemd op basis van een arbeidsovereenkomst;

 de onder a bedoelde medewerker die zonder benoeming is tewerkgesteld bij of ingeleend door het bevoegd gezag;

g. leerling: persoon die onderwijs volgt of gaat volgen op een school van de Vereniging;

h. persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon, waaronder in ieder geval uitdrukkelijk begrepen (de ouder(s)/verzorger(s) van) leerlingen en personeel;

i. persoonsregistratie: een samenhangende verzameling van op verschillende personen betrekking hebbende persoonsgegevens, die langs geautomatiseerde weg wordt gevoerd of met het oog op een doeltreffende raadpleging van die gegevens systematisch is aangelegd;

j. verwerking van persoonsgegevens: elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens;

(5)

k. leerling- of personeelsnummer: eenduidig nummer dat wordt gebruikt ten behoeve van efficiënte verwerking van persoonsgegevens;

l. functionaris gegevensbescherming (FG): degene die binnen de organisatie toezicht houdt op de verwerking van persoonsgegevens en als contactfunctionaris optreedt voor de personen van wie persoonsgegevens worden verwerkt (artikel 62 Wbp);

m. verwerker: degene die op basis van een overeenkomst ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen;

n. betrokkene: degene op wie een persoonsgegeven betrekking heeft (een sollicitant, een medewerker werkzaam/werkzaam geweest bij de Stichting, een leerling ingeschreven/ingeschreven geweest aan een school behorende de Stichting of een ouder/verzorger van wie gegevens in de persoonsregistratie zijn opgenomen, alle overige personen werkzaam bij of ten dienste van de Stichting, waaronder de leden van het toezichthoudend orgaan, leveranciers, huurders en tenslotte de bezoekers van één van de schoolgebouwen van de Stichting.;

o. derde: degene die onder gezag van de verantwoordelijke of de verwerker gemachtigd is om persoonsgegevens te verwerken;

p. toestemming van betrokkene: elke vrije, specifieke en uitdrukkelijke verklaring waarmee betrokkene aanvaardt dat de hem/haar betreffende persoonsgegevens worden verwerkt;

q. Wbp: Wet bescherming persoonsgegevens, wet van 1 juli 2015 (Staatsblad 2015, 281);

r. Wec: Wet op de expertisecentra;

s. Wpo: Wet op het primair onderwijs;

t. Wvo: Wet op het voortgezet onderwijs. Voor scholen welke zowel primair als voortgezet onderwijs aanbieden, wordt in dit reglement gelijke toepassing gegeven aan de gelijkluidende wetsbepalingen in de wetgeving ten aanzien van het primaire onderwijs.

u. schoolbegeleiding: activiteiten ten behoeve van de schoolorganisatie of het onderwijs aan een school die dienen tot begeleiding, ontwikkeling, advisering, informatieverstrekking en evaluatie, alsmede activiteiten tot bevordering van een optimale schoolloopbaan van leerlingen;

v. Autoriteit Persoonsgegevens: College Bescherming persoonsgegevens, als bedoeld in artikel 51 van de Wbp;

w. Vrijstellingsbesluit Wbp: besluit van 9 december 2014 (Staatsblad 2014, 521), houdende aanwijzing van verwerkingen van persoonsgegevens die zijn vrijgesteld van de melding bedoeld in artikel 27 van de Wbp;

(6)

x. Europese algemene verordening gegevensbescherming (AVG): het door het Europees Parlement aangenomen wettelijk kader voor privacybescherming.

y. Groep: een economische eenheid waarin rechtspersonen organisatorisch verbonden zijn (artikel 2:24 BW).

(7)

Reikwijdte en doelstelling van het reglement

2.1. Dit reglement is van toepassing op alle persoonsgegevens betreffende een van de betrokkenen die door of namens het bevoegd gezag worden verwerkt.

2.2. Dit reglement heeft ten doel dat de verwerking van persoonsgegevens plaats vindt conform de Wbp en overige privacywet- en regelgeving. Dit houdt onder andere in dat:

a. de persoonlijke levenssfeer van betrokkene wordt beschermd tegen onrechtmatige verwerking en/of misbruik van die gegevens, tegen verlies en tegen het verwerken van onjuiste gegevens;

b. wordt voorkomen dat persoonsgegevens worden verwerkt voor een ander doel dan het doel waarvoor ze verzameld zijn.

(8)

Persoonsregistratie

Het bevoegd gezag verwerkt persoonsgegevens van (oud-)leerlingen, (oud)medewerkers, overige niet op basis van een arbeidsovereenkomst werkzaam personeel, sollicitanten, leden van het toezichthoudend orgaan, leden van (de oudergeleding van) de Gemeenschappelijke medezeggenschapsraad, medezeggenschapsraden, leveranciers, huurders en bezoekers.

De verwerking van de persoonsgegevens zal in overeenstemming zijn met het doel, waarvoor de verwerking is aangelegd en zal plaatsvinden onder één of meerdere van de in artikel 8 Wbp genoemde grondslagen (bijlage I).

(9)

De gegevens

Persoonsgegevens worden op naam van betrokkene verzameld

De verzameling van persoonsgegevens van betrokkene vormt het dossier van de betrokkene.

Het bevoegd gezag neemt extra zorg in acht bij de verwerking van bijzondere persoonsgegevens indien en voor zover deze door het bevoegd gezag mogen worden verwerkt op basis van de Wbp. Dat zijn gegevens betreffende ras, politieke gezindheid, gezondheid, godsdienst, levensovertuiging, seksuele leven, en strafrechtelijke persoonsgegevens, maar ook gegevens met betrekking tot het leergedrag en onderwijsvorderingen. Het bevoegd gezag heeft de toegang tot deze persoonsgegevens beperkt tot een limitatief aantal medewerkers en de gegevens beveiligd met aanvullende beveiligingsmaatregelen. Deze zijn opgenomen in bijlage VI.

(10)

Doelen en grondslagen van gegevensverwerking

Leerlingen

5.1.1. De verwerking van persoonsgegevens van leerlingen heeft ten doel:

a. het inschrijven van de leerling bij de school (artikel 8c Wbp);

b. de organisatie of het geven van het onderwijs, de schoolbegeleiding van leerlingen, het opstellen van een onderwijskundig rapport en het geven van studieadviezen (artikel 8c Wbp);

c. het bij uitschrijving van een leerplichtige leerling informeren van de vervolgschool over het gevolgde onderwijs en de behaalde studieresultaten (artikel 8c Wbp);

d. het gebruik van een leerlingvolgsysteem dat de school inzicht verschaft in de cognitieve ontwikkeling, de sociaal-emotionele ontwikkeling en mogelijkheid biedt tot beheer en delen van deze gegevens met de docenten van de leerlingen en de ouders/verzorgers en leerlingen (artikel 8c Wbp);

e. het uitvoeren van de op het bevoegd gezag rustende verplichtingen op grond van de wet en daarop gebaseerde uitvoeringsregelgeving, waaronder (doch niet uitsluitend) de Wet op het primair onderwijs (Wpo), de Wet op het voortgezet onderwijs (Wvo), de Wet Medezeggenschap scholen (WMS) en de Leerplichtwet (artikelen 8c en artikel 8e Wbp);

f. het verstrekken of ter beschikking stellen van leermiddelen (artikelen 8b en 8c Wbp);

g. het geven van onderwijs met behulp van digitale leermiddelen en digitale diensten (diensten van de informatiemaatschappij) (artikelen 8a Wbp);

h. het verstrekken van inloggegevens voor het schoolnetwerk en digitale leermiddelen (artikel 8f Wbp);

i. het berekenen en vaststellen van ouderbijdragen (artikelen 8b Wbp);

j. het behandelen van geschillen aanhangig gemaakt bij klachten- en geschillencommissies (artikel 8c Wbp);

k. het laten uitoefenen van accountantscontrole (artikel 8c Wbp);

l. het bekend maken van informatie over de organisatie, de activiteiten van de school op de website (artikel 8f Wbp);

m. het opstellen en vormgeven van een (digitaal) smoelenboek met de foto’s van leerlingen (artikel 8a Wbp);

(11)

n. beveiliging van en toezicht op personen, zaken en gebouwen die zijn toevertrouwd aan de zorg van de Stichting (artikel 8f Wbp);

o. het uitvoering geven aan de wettelijke verplichting gegevens te verstrekken aan het Ministerie van Onderwijs en Wetenschappen, de onderwijsinspectie, en overige instanties, waaronder maar niet uitsluitend de instanties die onderdeel uitmaken van het Ondersteuningsteam (OT) voor zover de verplichting daartoe voortvloeit uit de wetgeving, inclusief de op de onderwijswetgeving gebaseerde bekostigingsvoorwaarden (artikel 8c Wbp);

p. het voldoen aan een verzoek van een bestuursorgaan dat is belast met de uitvoering van een publiekrechtelijke taak, waaronder in ieder geval, maar niet uitsluitend, verzoeken van de GGD (artikel 8eWbp).

5.1.2. De verwerking van de persoonsgegevens ten behoeve van de doelen genoemd in artikel 5.1.1. vindt plaats op basis van de grondslagen zoals aangeduid tussen de haakjes achter het betreffende doel in artikel 5.1.1. Het betreft steeds één of meerdere van de grondslagen genoemd in artikel 8 Wbp (bijlage I).

5.1.3. Geen andere persoonsgegevens worden verwerkt dan:

a. naam, voornamen, voorletters, titulatuur, geslacht, geboortedatum, adres, postcode, woonplaats, telefoonnummer en soortgelijke voor communicatie bedoelde gegevens zoals het e-mailadres, alsmede het bankrekeningnummer van de betrokkene;

b. het BSN nummer;

c. nationaliteit en geboorteplaats;

d. persoonsgebonden leerlingennummer;

e. gegevens die noodzakelijk zijn met het oog op de gezondheid of het welzijn van de leerling;

f. gegevens betreffende de godsdienst of levensovertuiging van de leerling, voor zover die noodzakelijk zijn voor het onderwijs;

g. gegevens betreffende de aard en het verloop van het onderwijs, de behaalde studieresultaten, zaken die volgens de basisschool van invloed kunnen zijn op de prestaties in het voortgezet onderwijs, de diagnostische eindtoets, het werk van het centraal examen en de rekentoets;

h. gegevens met het oog op de organisatie van het onderwijs en het verstrekken of ter beschikking stellen van (digitale) leermiddelen;

(12)

i. gegevens met het oog op het berekenen, vastleggen en innen van inschrijvingsgelden, ouderbijdragen, vergoedingen voor leermiddelen en buitenschoolse activiteiten;

j. foto's en videobeelden met of zonder geluid van (les-)activiteiten van de school;

k. (digitale) pasfoto’s;

l. inloggegevens voor het schoolnetwerk, de door de school gebruikte digitale leermiddelen, sociale media en software applicaties voor onderwijsdoeleinden alsmede inlogcodes voor de bestelling van reguliere leermiddelen bij de leverancier;

m. gegevens als bedoeld onder a. en c., van de ouders, voogden of verzorgers van leerlingen (waaronder bijv. beroep of hoogst genoten opleidingsniveau) en of sprake is van gezamenlijk ouderlijk gezag en gegevens over lidmaatschap van de oudergeleding van de gemeenschappelijke medezeggenschapsraad, medezeggenschapsraad;

n. andere dan de onder a. tot en met o. bedoelde gegevens waarvan de verwerking wordt vereist of noodzakelijk is met het oog op de toepassing van een wettelijke regeling.

5.1.4. Voor de onder 5.1.1. genoemde doelen worden de navolgende gegevens genoemd in artikel 5.1.3. verwerkt:

a. het inschrijven van de leerling: de gegevens genoemd onder a. t/m f., i., m. en p.;

b. de organisatie of het geven van het onderwijs, de begeleiding van leerlingen, en het geven van studieadviezen: de gegevens genoemd onder a., [d.] t/m h., j. t/m l. en p.;

c. het bij uitschrijving van een leerplichtige leerling informeren van de vervolgschool over het gevolgde onderwijs en de behaalde studieresultaten:

de gegevens genoemd onder a., e., g. en p.;

d. het gebruik van een leerlingvolgsysteem dat de school inzicht verschaft in de cognitieve ontwikkeling, de sociaal-emotionele ontwikkeling en mogelijkheid biedt tot beheer en delen van deze gegevens met de docenten van de leerlingen en de ouders/verzorgers en leerlingen: de gegevens genoemd onder a., [d.], g. en m.;

(13)

e. het uitvoeren van de op het bevoegd gezag rustende verplichtingen op grond van de wet en daarop gebaseerde uitvoeringsregelgeving, waaronder (doch niet uitsluitend) de Wet op het primair onderwijs (Wpo), de Wet op de expertisecentra (Wec), de Wet Medezeggenschap scholen (WMS) en de Leerplichtwet: de gegevens genoemd onder a. en b.;

f. het verstrekken of ter beschikking stellen van leermiddelen: de gegevens genoemd onder a., g., h. en i.;

g. het geven van onderwijs met behulp van digitale leermiddelen en digitale diensten: de gegevens genoemd onder a., [d.] en h.;

h. het verstrekken van inloggegevens voor het schoolnetwerk, digitale leermiddelen alsmede de inlogcodes voor de bestelling van reguliere leermiddelen: de gegevens genoemd onder a., [d.] en h.;

i. het berekenen en vaststellen van ouderbijdragen: de gegevens genoemd onder d., i. en m.;

j. het behandelen van geschillen: de gegevens genoemd in artikel 5.1.3. onder a., [d.], e. en g.;

k. het laten uitoefenen van accountantscontrole: de gegevens genoemd in artikel 5.1.3. onder a., [d.], [b.], g., h, i. en p.;

l. het bekend maken van informatie over de organisatie, de activiteiten van de school op de website: de gegevens genoemd in artikel 5.1.3. onder a., [d.], j. en m.;

m. het opstellen en vormgeven van een (digitaal) smoelenboek met de foto’s van leerlingen: de gegevens genoemd in artikel 5.1.3. onder a., [d.] en k.

n. beveiliging van en toezicht op personen, zaken en gebouwen die zijn toevertrouwd aan de zorg van de Vereniging: de gegevens genoemd in artikel 5.1.3. onder a., [d.], k., n. en o.;

o. het uitvoering geven aan de wettelijke verplichting gegevens te verstrekken aan het Ministerie van Onderwijs en Wetenschappen, de onderwijsinspectie, en overige instanties, waaronder maar niet uitsluitend de instanties die onderdeel uitmaken van het Ondersteuningsteam (OT) voor zover de verplichting daartoe voortvloeit uit de wetgeving, inclusief de op de onderwijswetgeving gebaseerde bekostigingsvoorwaarden: de gegevens genoemd in artikel 5.1.3. genoemd onder a., b., c., e., g., k., m. en p.;

p. het voldoen aan een verzoek van een bestuursorgaan dat is belast met de uitvoering van een publiekrechtelijke taak, waaronder in ieder geval, maar niet

(14)

uitsluitend, verzoeken van de GGD: de gegevens genoemd in artikel 5.1.3.

onder a., b., c., e., g., j., n. en p.

5.1.5. Bewaarplaats van de gegevens

a. De gegevens genoemd in artikel 5.1.3. a. t/m p. met uitzondering van l., j. en n., worden bewaard in een papieren dossier onder verantwoordelijkheid van het bevoegd gezag dat wordt bewaard in de personeelsruimte;

b. De gegevens genoemd in artikel 5.1.3 a. t/m p. met uitzondering van c., d., f., i. en j. worden bewaard in het digitale leerlingvolgsysteem Parnassys, dat wordt beheerd door Topicus te Deventer;

c. De gegevens genoemd in artikel 5.1.3. onder i. worden bewaard in de digitale leerlingen financiële administratie;

d. De gegevens genoemd in artikel 5.1.3. onder j. worden bewaard op een afgesloten, slechts voor bevoegden toegankelijk deel van de server van het bevoegd gezag (bijlage II);

e. De server van het bevoegd gezag staat geplaatst op de locatie in Hollandscheveld en in Groningen via BRIN office 365;

f. In het kader van onderwijsdoeleinden wordt tevens gebruik gemaakt van andere servers dan die van de Stichting en de door haar gecontracteerde verwerkers (sociale media en software-applicaties die leerlingen op hun eigen ICT-middelen downloaden). De Stichting maakt van deze servers uitsluitend gebruik met het oog op onderwijskundige doeleinden.

Personeel

5.2.1. De verwerking van gegevens van personeel heeft ten doel:

a. het aangaan van de arbeidsovereenkomst: (artikel 8b Wbp);

b. het vaststellen van salarisaanspraken en arbeidsvoorwaarden (artikel 8b Wbp);

c. het (laten) uitbetalen van salaris, de afdracht van belastingen en premies (artikelen 8b en 8c Wbp);

d. de uitvoering van een voor de betrokkene geldende arbeidsvoorwaarde (artikel 8b Wbp);

e. het innen van vorderingen, waaronder begrepen het in handen van derden stellen van die vorderingen (artikel 8b Wbp);

f. het verlenen van ontslag (artikel 8b Wbp);

(15)

g. de overgang van de betrokkene naar diens (tijdelijke) tewerkstelling bij een ander onderdeel van de groep, bedoeld in artikel 2:24b van het Burgerlijk Wetboek waaraan de verantwoordelijke is verbonden (artikel 8b Wbp);

h. het geven van leiding aan de werkzaamheden van betrokkene (artikel 8b Wbp);

i. het verstrekken van de bedrijfsmedische zorg voor betrokkene en het kunnen nakomen van re-integratieverplichtingen bij verzuim (artikel 8c Wbp);

j. het toegang verlenen tot het schoolnetwerk (artikel 8b Wbp);

k. het regelen van en de controle van aanspraken op uitkeringen in verband met de beëindiging van een dienstverband (artikel 8b Wbp);

l. de verkiezing van de leden van een bij wet geregeld medezeggenschapsorgaan (artikel 8c Wbp);

m. het behandelen van geschillen (artikel 8b Wbp);

n. de behandeling van personeelszaken, anders dan genoemd onder a. tot en met m. (artikel 8b Wbp);

o. de organisatie of het geven van het onderwijs en de begeleiding van docenten (artikel 8f Wbp);

p. het laten uitoefenen van accountantscontrole en het laten vaststellen van aanspraken op bekostiging (artikel 8c en artikel 8f Wbp);

q. beveiliging van en toezicht op personen, zaken en gebouwen die zijn toevertrouwd aan de zorg van de Vereniging (artikel 8f Wbp).

5.2.2. Grondslagen van de gegevensverwerking:

De verwerking van de persoonsgegevens ten behoeve van de doelen genoemd in artikel 5.2.1. vindt plaats op basis van de grondslagen zoals aangeduid tussen de haakjes achter het betreffende doel in artikel 5.2.1. Het betreft één of meerdere van de grondslagen genoemd in artikel 8 Wbp (zie bijlage I).

5.2.3. Geen andere persoonsgegevens worden verwerkt dan:

a. naam, voornamen, voorletters, titulatuur, geslacht, geboortedatum, adres, postcode, woonplaats, telefoonnummer en soortgelijke voor communicatie benodigde gegevens, zoals het e-mailadres alsmede bank- en girorekeningnummer van de betrokkene;

b. BSN-nummer;

c. kopie ID-bewijs/paspoort;

(16)

d. een personeelsnummer dat geen andere informatie bevat dan bedoeld onder a;

e. nationaliteit, geboorteplaats;

f. gegevens betreffende de godsdienst of levensovertuiging, voor zover die noodzakelijk zijn voor een goede functie-uitoefening conform de benoemingsvoorwaarden;

g. gegevens betreffende gevolgde en te volgen opleidingen, cursussen en stages;

h. gegevens betreffende de arbeidsvoorwaarden;

i. gegevens betreffende het berekenen, vastleggen en betalen van salarissen, vergoedingen en andere geldsommen en beloningen in natura;

j. gegevens betreffende het berekenen, vastleggen en betalen van belasting en premies;

k. gegevens betreffende de functie of de voormalige functie(s), alsmede betreffende de aard, de inhoud en de beëindiging van voorgaande dienstverbanden;

l. gegevens met het oog op de administratie van de aanwezigheid van de betrokkenen op de plaats waar de arbeid wordt verricht en hun afwezigheid in verband met verlof, arbeidsduurverkorting, bevalling of ziekte, met uitzondering van gegevens over de aard van de ziekte;

m. gegevens die in het belang van de betrokkenen worden opgenomen met het oog op hun arbeidsomstandigheden en veiligheid;

n. gegevens, waaronder begrepen gegevens betreffende gezinsleden en voormalige gezinsleden van de betrokkenen, die noodzakelijk zijn met het oog op een overeengekomen arbeidsvoorwaarden;

o. gegevens met betrekking tot de functie-uitoefening, de personeelsbeoordeling en de loopbaanbegeleiding, voor zover die gegevens bij de betrokkenen bekend zijn;

p. gegevens van docenten, onderwijsondersteunend personeel en begeleiders, voor zover deze gegevens van belang zijn voor de organisatie van de school of de instelling en het geven van onderwijs, opleidingen en trainingen;

q. inloggegevens van het schoolnetwerk en digitale leermiddelen

r. foto's en videobeelden met of zonder geluid van activiteiten van de school en van lessen van onderwijzend personeel;

(17)

s. andere dan de onder a. tot en met t. bedoelde gegevens waarvan de verwerking wordt vereist ingevolge of noodzakelijk is met het oog op de toepassing van een andere niet nader genoemde wet.

a. het aangaan van de arbeidsovereenkomst: de gegevens genoemd onder a. t/m n.;

b. het vaststellen van salarisaanspraken en arbeidsvoorwaarden: de gegevens genoemd onder a., [d.], b., c., g., h., n., o. en u.;

c. het (laten) uitbetalen van salaris: de gegevens genoemd onder a., b., i. en j.;

d. de uitvoering van een voor de betrokkene geldende arbeidsvoorwaarde: de gegevens genoemd onder a., [d.], g., k., l., m., n., p. en u.;

e. het innen van vorderingen, waaronder begrepen het in handen van derden stellen van die vorderingen: de gegevens genoemd onder a., [d.], b., i., j., k., l.

en n.;

f. het verlenen van ontslag: de gegevens genoemd onder a., g., h., i., j., k., l. en o.;

g. de overgang van de betrokkene naar diens (tijdelijke) tewerkstelling bij een ander onderdeel van de groep, bedoeld in artikel 2:24b van het Burgerlijk Wetboek waaraan de verantwoordelijke is verbonden: de gegevens genoemd onder a. t/m m. met uitzondering van c., i. en j.;

h. het geven van leiding aan de werkzaamheden van betrokkene de gegevens genoemd onder a., f., g., h., k., l., m., o. en r.;

i. het verstrekken van de bedrijfsmedische zorg voor betrokkene en het kunnen nakomen van re-integratieverplichtingen bij verzuim: de gegevens genoemd onder a., b., g., l., m., n. en u.;

j. het toegang verlenen tot het schoolnetwerk: de gegevens genoemd onder d.

en p.;

k. het regelen en de controle van aanspraken op uitkeringen in verband met de beëindiging van een dienstverband: de gegevens genoemd onder a., b., i., k., l. en n.;

l. de verkiezing van de leden van een bij wet geregeld medezeggenschapsorgaan: de gegevens genoemd onder a.;

(18)

m. het behandelen van geschillen: de gegevens genoemd onder a., g., h., i., j., k., l., m., n. en o.;

n. de behandeling van personeelszaken, anders dan genoemd onder a. tot en met m. de gegevens genoemd onder a., b., c., f., g., h., i., j., k., l., m., n., o. en u.;

o. de organisatie of het geven van het onderwijs en de begeleiding van docenten:

de gegevens genoemd onder a., f., g., l., m., p., r. en u.;

p. het laten uitoefenen van accountantscontrole en het laten vaststellen van aanspraken op bekostiging: de gegevens genoemd onder d., b., k., l. en u.;

q. beveiliging van en toezicht op personen, zaken en gebouwen die zijn toevertrouwd aan de zorg van de Vereniging: de gegevens genoemd onder a., d., r., s. en t.;

a. De gegevens genoemd in artikel 5.2.3. onder a. tot en met u. met uitzondering van q., r., s. en t., worden bewaard in een fysiek dossier in de school in Groningen in de kast in de directiekamer en digitaal in Microsoft online.

b. De gegevens genoemd in artikel 5.2.3. onder a. tot en met u. met uitzondering van q., r., s. en t. worden tevens bewaard in het digitale personeels- en salarisadministratiesysteem op een afgesloten deel van de server van het bevoegd gezag.

c. De gegevens genoemd in artikel 5.2.3. onder q., r. worden bewaard op de server van het bevoegd gezag in een afgesloten, slechts voor bevoegden toegankelijk deel (bijlage II).

d. De server van het bevoegd gezag staat geplaatst op de server van de school in Hollandscheveld en in Groningen in een office 365 omgeving.

In het kader van onderwijsdoeleinden wordt tevens gebruik gemaakt van de servers van door haar gecontracteerde verwerkers alsmede van servers van derden. Op deze servers worden bewaard de gegevens genoemd in artikel 5.2.3 onder a.

(19)

Sollicitanten

De verantwoordelijke heeft een werving- en sollicitatiecode, waarin de procedures van de organisatie van verantwoordelijke inzake werving en selectie zijn opgenomen als ook de wijze van omgang met persoonsgegevens.

5.3.1. De verwerking van gegevens van sollicitanten heeft ten doel:

a. de beoordeling van de geschiktheid van betrokkene voor een functie die vacant is (artikelen 8a en 8b Wbp);

b. de beoordeling van de geschiktheid van betrokkene voor een functie die in de nabije toekomst vacant kan komen (artikelen 8a en 8b Wbp);

c. de afhandeling van de door de sollicitant gemaakte onkosten (artikel 8a Wbp);

d. beveiliging van en toezicht op personen, zaken en gebouwen die zijn toevertrouwd aan de zorg van de Vereniging (artikel 8f Wbp);

e. de uitvoering of toepassing van wetgeving (artikel 8c Wbp).

De verwerking van de persoonsgegevens ten behoeve van de doelen genoemd in artikel 5.3.1. vindt plaats op basis van de grondslagen zoals aangeduid tussen de haakjes achter het betreffende doel in artikel 5.3.1. Het betreft één of meerdere van de grondslagen genoemd in artikel 8 (zie bijlage I).

5.3.3. Geen andere gegevens worden verwerkt dan:

b. nationaliteit en geboorteplaats;

c. gegevens betreffende de godsdienst of levensovertuiging, voor zover die noodzakelijk zijn voor de beoordeling of de sollicitant voldoet aan de benoemingsvoorwaarden;

d. gegevens betreffende gevolgde en te volgen opleidingen, cursussen en stages;

e. gegevens betreffende de functie waarnaar gesolliciteerd is;

f. gegevens betreffende de aard en inhoud van de huidige dienstbetrekking, alsmede betreffende de beëindiging ervan;

(20)

g. gegevens betreffende de aard en inhoud van de vorige dienstbetrekkingen, alsmede betreffende de beëindiging ervan;

h. andere gegevens met het oog op het vervullen van de functie (bijvoorbeeld gegevens in het kader van een te voeren voorkeursbeleid voor minderheden of re-integratiebeleid);

i. foto's en videobeelden met of zonder geluid;

j. andere gegevens met het oog op het vervullen van de functie, die door of na toestemming van de betrokkene zijn verstrekt (assessments, psychologisch onderzoek, uitslag medische keuring);

k. andere dan de onder a. tot en met j. bedoelde gegevens waarvan de verwerking wordt vereist ingevolge of noodzakelijk is met het oog op de toepassing van een andere wet.

a. de beoordeling van de geschiktheid van betrokkene voor een functie die vacant is: de gegevens genoemd onder a. t/m i., l. en m.;

b. de beoordeling van de geschiktheid van betrokkene voor een functie die in de nabije toekomst vacant kan komen: de gegevens genoemd onder a. t/m i., l.

en m.;

c. de afhandeling van de door de sollicitant gemaakte onkosten: de gegevens genoemd onder a.;

d. beveiliging van en toezicht op personen, zaken en gebouwen die zijn toevertrouwd aan de zorg van de Vereniging: de gegevens genoemd onder a., j. en k.;

e. de uitvoering of toepassing van wetgeving: de gegevens genoemd onder a.

t/m m., met uitzondering van c., j. en k.

a. De gegevens onder 5.3.3. a. tot en met m. met uitzondering van de gegevens onder i., j. en k. worden bewaard in een fysiek dossier bij het bevoegd gezag, dat wordt bewaard in de kast bij de directiekamer en in RAET.

b. De gegevens onder 5.3.3. i., j. en k. worden tevens bewaard op een afgesloten, slechts voor bevoegden toegankelijk deel van de server van het bevoegd gezag (bijlage II).

(21)

Oud-medewerkers

5.4.1. De verwerking van gegevens van oud-medewerkers heeft ten doel:

a. het onderhouden van contacten met oud-medewerkers (artikel 8a Wbp);

b. het verzenden van informatie aan oud-medewerkers (artikel 8a Wbp);

c. het verwerken van de aanmeldingen van oud-medewerkers voor mede voor hen georganiseerde activiteiten en bijeenkomsten (artikel 8a Wbp);

d. het berekenen, vastleggen en innen van bijdragen en giften, waaronder begrepen het in handen van derden stellen van vorderingen, alsmede andere activiteiten van intern beheer (artikel 8a Wbp);

e. het doen uitoefenen van accountantscontrole (artikel 8c Wbp).

b. gegevens betreffende de functie waarin en de periode gedurende welke de oud-medewerker voor de verantwoordelijke werkzaam is geweest;

c. gegevens met het oog op het berekenen, vastleggen en innen van bijdragen en giften;

d. een administratiecode dat geen andere informatie bevat dan bedoeld onder a.

tot en met c.;

e. gegevens met betrekking tot aanmelding activiteiten/bijeenkomsten.

(22)

a. het onderhouden van contacten met oud-medewerkers: de gegevens genoemd onder a. t/m d.;

b. het verzenden van informatie aan oud-medewerkers: de gegevens genoemd onder a. en d.;

c. het verwerken van de aanmeldingen van oud-medewerkers voor mede voor hen georganiseerde activiteiten en bijeenkomsten: de gegevens genoemd onder d. en e.;

d. het berekenen, vastleggen en innen van bijdragen en giften, waaronder begrepen het in handen van derden stellen van vorderingen, alsmede andere activiteiten van intern beheer: de gegevens genoemd onder c., d. en e.;

e. het doen uitoefenen van accountantscontrole: de gegevens genoemd onder c.

en d.

De gegevens genoemd in artikel 5.4.3. onder a. tot en met d. worden bewaard in een fysiek dossier bij het bevoegd gezag, dat wordt bewaard in de kast bij de directiekamer in Hollandscheveld en in de directiekamer in Groningen.

Oud-leerlingen

5.5.1. De verwerking van gegevens van oud-leerlingen heeft ten doel:

a. het onderhouden van contacten met de oud-leerlingen (artikel 8a Wbp);

b. het verzenden van informatie aan de oud-leerlingen (artikel 8a Wbp);

c. het verwerken van de aanmeldingen van oud-leerlingen voor mede voor hen georganiseerde activiteiten en bijeenkomsten (artikel 8a Wbp);

d. het berekenen, vastleggen en innen van bijdragen en giften, waaronder begrepen het in handen van derden stellen van vorderingen, alsmede andere activiteiten van intern beheer (artikel 8a Wbp);

e. het doen uitoefenen van accountantscontrole (artikel 8c Wbp).

(23)

a. naam, voornamen, voorletters, titulatuur, geslacht, geboortedatum, BSN, adres, postcode, woonplaats, telefoonnummer en soortgelijke voor communicatie bedoelde gegevens, zoals het e-mailadres alsmede bankrekeningnummer van de betrokkene;

b. gegevens betreffende de aard van de (vervolg) studie respectievelijk toekomstige werkkring en de periode gedurende welke de oud-leerling, de opleiding heeft gevolgd;

c. gegevens met het oog op het berekenen, vastleggen en innen van bijdragen en giften;

d. een administratiecode dat geen andere informatie bevat dan bedoeld onder a.

tot en met c.;

e. gegevens met betrekking tot aanmelding activiteiten/bijeenkomsten;

5.5.4. Voor de onder 5.5.1. genoemde doelen worden de navolgende gegevens genoemd in artikel 5.5.3 verwerkt:

a. het onderhouden van contacten met de oud-leerlingen: de gegevens genoemd onder a. t/m d.;

b. het verzenden van informatie aan de oud-leerlingen: de gegevens genoemd onder a. en d.;

c. het verwerken van de aanmeldingen van oud-leerlingen voor mede voor hen georganiseerde activiteiten en bijeenkomsten: de gegevens genoemd onder d. en e.;

d. het berekenen, vastleggen en innen van bijdragen en giften, waaronder begrepen het in handen van derden stellen van vorderingen, alsmede andere activiteiten van intern beheer: de gegevens genoemd onder a., c., d. en e.;

e. het doen uitoefenen van accountantscontrole de gegevens genoemd onder c.

en d.;

De gegevens onder a. tot en met d. worden bewaard op de server van het bevoegd gezag in een afgesloten, slechts voor bevoegden toegankelijk gedeelte (bijlage II).

(24)

5.5.6. Het formulier waarmee toestemming wordt gevraagd voor de in artikel 5.5.1. sub a., b. en c. genoemde verwerkingen is opgenomen in bijlage IV.

Leden van het toezichthoudend orgaan

5.6.1. De verwerking van gegevens van de (kandidaat-)leden van het toezichthoudend orgaan heeft ten doel:

a. het vastleggen van de benoeming, de functie binnen het toezichthoudend orgaan en de benoemingstermijn (artikel 8b Wbp);

b. het vastleggen en (laten) uitbetalen van de – door het toezichthoudend orgaan - vastgestelde beloning alsmede overige activiteiten van intern beheer (artikel 8b Wbp);

c. het uitvoering geven aan het recht van de medezeggenschapsraad om op grond van de WMS een bindende voordracht te doen voor een toezichthouder (artikelen 8a, 8b en 8c Wbp) n.v.t.;

d. de organisatie van de school waaronder het informeren van personeel en leerlingen over de samenstelling en bereikbaarheid van het toezichthoudend orgaan (artikel 8f Wbp);

e. het onderhouden van contacten tussen het bevoegd gezag en de medezeggenschapsraad met het toezichthoudend orgaan (artikel 8b Wbp);

f. het verzenden van (management)informatie aan het toezichthoudend orgaan (artikel 8b Wbp);

g. het laten uitoefenen van accountantscontrole (artikelen 8c en 8f Wbp);

h. beveiliging van en toezicht op personen, zaken en gebouwen die zijn toevertrouwd aan de zorg van de Vereniging (artikel 8f Wbp).

a. naam, voornamen, voorletters, titulatuur, geslacht, geboortedatum, adres, postcode, woonplaats, telefoonnummer en soortgelijke voor communicatie

(25)

benodigde gegevens, zoals het e-mailadres alsmede bank- en girorekeningnummer van de betrokkene;

b. BSN-nummer;

c. kopie ID-bewijs/paspoort;

d. nationaliteit en geboorteplaats;

e. gegevens betreffende de godsdienst of levensovertuiging, voor zover die noodzakelijk zijn voor een goede uitoefening behorend bij de taak;

f. gegevens betreffende het berekenen, vastleggen en betalen van salarissen, vergoedingen en andere geldsommen en beloningen in natura, voor zover van toepassing;

g. gegevens betreffende gevolgde en te volgen opleidingen;

h. gegevens betreffende de functie binnen het toezichthoudend orgaan, alsmede betreffende de aard, de inhoud van de overige werkzaamheden en expertise;

i. andere dan de onder a. tot en met i. bedoelde gegevens waarvan de verwerking wordt vereist ingevolge of noodzakelijk is met het oog op de toepassing van een andere niet nader genoemde wet.

a. het vastleggen van de benoeming, de functie binnen het toezichthoudend orgaan en de benoemingstermijn: de gegevens genoemd onder a. t/m h.;

b. het vastleggen en (laten) uitbetalen van de – door het toezichthoudend orgaan - vastgestelde beloning alsmede overige activiteiten van intern beheer: de gegevens genoemd onder a., b., f., g. en h.;

c. het uitvoering geven aan het recht van de medezeggenschapsraad om op grond van de WMS een bindende voordracht te doen voor een kandidaat- toezichthouder: de gegevens genoemd onder a., e., g. en h ;

d. de organisatie van de school waaronder het informeren van personeel en leerlingen over de samenstelling van het toezichthoudend orgaan: de gegevens genoemd onder a.;

e. het onderhouden van contacten tussen het bevoegd gezag en de medezeggenschapsraad met het toezichthoudend orgaan: de gegevens genoemd onder a.;

(26)

f. het verzenden van (management)informatie aan het toezichthoudend orgaan:

de gegevens genoemd onder a.;

g. het laten uitoefenen van accountantscontrole: de gegevens genoemd onder a., g. en h.;

h. beveiliging van en toezicht op personen, zaken en gebouwen die zijn toevertrouwd aan de zorg van de Vereniging: de gegevens genoemd onder a., i. en j.;

De gegevens genoemd in artikel 5.6.3. onder a. tot en met h. worden bewaard in een fysiek dossier bij het bevoegd gezag, dat wordt bewaard in het administratiekantoor van de Verenging en is slechts voor bevoegden toegankelijk gedeelte (bijlage II).

Bezoekers

5.7.1. Website

De Vereniging informeert bezoekers van de website van de Vereniging bij een bezoek aan de website over de doeleinden en gegevens die worden verwerkt bij een bezoek aan de website door middel van een privacy statement dat op de website van de Vereniging is geplaatst (bijlage XIV).

Leveranciers

5.8.1. De verwerking van gegevens van leveranciers van de Vereniging heeft ten doel:

a. het doen van bestellingen of de opdrachtverlening aan dienstverleners (artikel 8b Wbp);

b. het berekenen en vastleggen van inkomsten en uitgaven en het doen van betalingen (artikel 8b Wbp);

c. het innen van vorderingen, waaronder begrepen het in handen van derden stellen van die vorderingen alsmede andere activiteiten van intern beheer (artikel 8b Wbp);

d. het onderhouden van contacten door de verantwoordelijke met de leveranciers (artikel 8b Wbp);

(27)

e. het behandelen van geschillen en het doen uitoefenen van accountantscontrole 9artikel 8c Wbp);

f. de uitvoering of de toepassing van een andere wet (artikel 8c Wbp);

g. beveiliging van en toezicht op personen, zaken en gebouwen die zijn toevertrouwd aan de zorg van de Vereniging (artikel 8f Wbp).

De verwerking van de persoonsgegevens ten behoeve van de doelen genoemd in artikel 5.8.1. vindt plaats op basis van de grondslagen zoals aangeduid tussen de haakjes achter het betreffende doel in artikel 5.8.1. Het betreft één of meerdere van de grondslagen genoemd in artikel 8 (zie bijlage I).

a. naam, voornamen, voorletters, titulatuur, geslacht, geboortedatum, adres, postcode, woonplaats, telefoonnummer en soortgelijke voor communicatie benodigde gegevens, zoals het e-mailadres alsmede de organisatie waartoe de betrokkene behoort;

b. gegevens met het oog op het doen van bestellingen of het opdracht verlenen aan dienstverleners;

c. andere dan de onder a. tot en met d. bedoelde gegevens waarvan de verwerking is vereist ingevolge of noodzakelijk is met het oog op de toepassing van een andere wet;

.

a. voor het doen van bestellingen of de opdrachtverlening aan dienstverleners:

de gegevens onder a., [b.];

b. voor het berekenen en vastleggen van inkomsten en uitgaven en het doen van betalingen: de gegevens onder a., [b.],;

c. voor het innen van vorderingen, waaronder begrepen het in handen van derden stellen van die vorderingen alsmede andere activiteiten van intern beheer: de gegevens onder a., [b.];

d. voor het onderhouden van contacten door de verantwoordelijke met de leveranciers: de gegevens onder a.;

(28)

e. voor het behandelen van geschillen en het doen uitoefenen van accountantscontrole: de gegevens onder a., [b].,.;

f. voor de uitvoering of de toepassing van een andere wet: de gegevens onder a..

g. voor de beveiliging van en toezicht op personen, zaken en gebouwen die zijn toevertrouwd aan de zorg van de Vereniging: de gegevens onder d.

(29)

Toegang tot persoonsgegevens

Toegang tot de persoonsgegevens hebben degenen, medewerkers en derden, die zijn belast met of leiding geven aan de activiteiten die in verband staan met de verwerking van de gegevens of die daarbij noodzakelijk zijn betrokken.

De medewerkers die toegang hebben tot persoonsgegevens zijn opgenomen in het bestand dat in bijlage II bij dit reglement is gevoegd.

De Vereniging heeft met derden die toegang hebben tot persoonsgegevens een verwerkersovereenkomst gesloten, waarin waarborgen zijn getroffen voor de bescherming van de persoonsgegevens. Een overzicht van de verwerkers met wie de Vereniging een verwerkersovereenkomst heeft gesloten (zie bijlagen X en XI) is opgenomen in bijlage IX.

Anderen krijgen alleen toegang tot de persoonsgegevens indien:

a. de ouder(s)/verzorger(s) van de leerling zijn uitdrukkelijke toestemming heeft/hebben verleend voor het verstrekken (van toegang tot) de persoonsgegevens; of

b. het verstrekken van (toegang tot) de persoonsgegevens noodzakelijk is voor de nakoming van een wettelijke plicht door de onderwijsinstelling; of

c. het verstrekken van (toegang tot) de persoonsgegevens noodzakelijk is vanwege een vitaal belang van de leerling (bijvoorbeeld een dringende medische noodzaak).

(30)

Rechten betrokkene(n): inzage, correctie, verzet

Personen over wie gegevens zijn opgenomen in de persoonsregistratie, dan wel - indien zij de leeftijd van zestien jaar nog niet bereikt hebben - hun wettelijke vertegenwoordigers, hebben het recht van inzage in de over hen, respectievelijk hun pupil, opgenomen gegevens. Zij kunnen van dit recht gebruik maken door de FG schriftelijk te verzoeken opgave te verstrekken van de over hen, respectievelijk hun pupil, in de persoonsregistratie vastgelegde gegevens. Deze gegevens worden binnen vier weken na ontvangst van het verzoek schriftelijk verstrekt (bijlagen XII en XIII).

De beheerder dient zich ervan te overtuigen dat degene die om inzage vraagt daar recht op heeft.

Indien de verantwoordelijke twijfelt aan de identiteit van de verzoeker, vraagt hij zo spoedig mogelijk aan de verzoeker schriftelijk nadere gegevens inzake zijn identiteit te verstrekken of een geldig identiteitsbewijs te overleggen. Door dit verzoek wordt de termijn opgeschort tot het tijdstip dat het gevraagde bewijs is geleverd.

Indien de betrokkene de FG verzoekt tot correctie omdat bepaalde opgenomen gegevens onjuist c.q. onvolledig zouden zijn, dan wel gezien de doelstelling van het systeem niet ter zake doen, dan wel strijdig zijn met dit reglement, neemt de FG namens de verantwoordelijke binnen vier weken nadat betrokkene dit verzoek heeft ingediend, hierover een schriftelijke beslissing.

De FG draagt er zorg voor dat een beslissing tot verbetering, aanvulling, verwijdering of afscherming zo spoedig mogelijk wordt uitgevoerd.

Wanneer de verwerking van persoonsgegevens plaatsvindt op de grondslag dat die verwerking:

a. noodzakelijk is voor de goede vervulling van een door de verantwoordelijke verrichte publiekrechtelijke taak; of

b. noodzakelijk is voor een gerechtvaardigd belang van de verantwoordelijke of een derde,

kan betrokkene schriftelijk verzet aantekenen tegen de verwerking van de gegevens, op basis van zijn bijzondere persoonlijke omstandigheden. Van dergelijke omstandigheden is in ieder geval sprake als enig belang van de betrokkene of diens vertegenwoordigers en/of hun veiligheid in het geding is. De verantwoordelijke dient

(31)

binnen vier weken na ontvangst van het verzet te beoordelen of het verzet terecht is.

Is dat het geval, dan wordt de verwerking van persoonsgegevens onmiddellijk beëindigd.

Wijzigingen

Een schriftelijk verzoek aan de FG tot verbetering, verwijdering of aanvulling van de gegevens kan gedaan worden door de betrokkene of - indien deze de leeftijd van zestien jaar nog niet bereikt heeft - diens wettelijke vertegenwoordiger.

Indien de FG de gevraagde wijzigingen, als bedoeld in artikel 8.1, aanbrengt, doet hij hiervan schriftelijk mededeling aan de in artikel 8.1 bedoelde persoon, binnen vier weken na ontvangst van het verzoek.

Indien de FG de gevraagde wijzigingen, als bedoeld in artikel 8.1, niet wenst aan te brengen, doet hij hiervan schriftelijk mededeling aan de in artikel 8.1 bedoelde persoon, binnen vier weken na ontvangst van het verzoek. Een beslissing tot afwijzing van een verzoek is met redenen omkleed.

De FG deelt de betrokkene of diens wettelijke vertegenwoordiger op diens verzoek binnen één maand mede of hem betreffende gegevens uit de persoonsregistratie in het jaar voorafgaande aan het verzoek aan derden zijn verstrekt. De FG kan volstaan met een algemene mededeling indien vastlegging van die verstrekking achterwege is gebleven en hij redelijkerwijs mag aannemen dat het belang van de betrokkene daardoor niet onevenredig wordt geschaad.

Na afwijzing van het verzoek, zoals bedoeld in artikel 8.3, of een verzoek, zoals bedoeld in artikel 8.4 kan betrokkene, zich wenden tot de externe klachtencommissie zoals bedoeld in de klachtenregeling van de Stichting of de Autoriteit Persoonsgegevens benaderen met een verzoek tot bemiddeling.

(32)

Bewaartermijnen

Voor de gegevens in het leerlingdossier geldt dat deze gegevens gedurende twee jaar nadat de desbetreffende leerling van de school is uitgeschreven worden bewaard, tenzij ze wegens een wettelijke bewaarplicht langer moeten worden bewaard. Voor de gegevens opgenomen in de leerlingadministratie geldt dat deze vijf jaar nadat de desbetreffende leerling van de school is uitgeschreven dienen te worden bewaard, tenzij ze wegens een wettelijke bewaarplicht langer moeten worden bewaard.

De persoonsgegevens van medewerkers worden verwijderd twee jaar nadat het dienstverband is geëindigd, tenzij andere wettelijke bepalingen het langer bewaren van (een aantal van) deze gegevens in een (geautomatiseerde) persoonsregistratie vereisen.

De persoonsgegevens van sollicitanten worden verwijderd op een daartoe strekkend verzoek van betrokkenen en in ieder geval vier weken nadat de sollicitatieprocedure is geëindigd, tenzij de persoonsgegevens met toestemming van betrokkene gedurende een jaar na beëindiging van de sollicitatieprocedure worden bewaard.

De persoonsgegevens van oud-medewerkers worden verwijderd op een daartoe strekkend verzoek van betrokkenen en zodra de verantwoordelijke bekend geworden is met hun overlijden.

De persoonsgegevens van oud-leerlingen worden verwijderd op een daartoe strekkend verzoek van betrokkenen en zodra de verantwoordelijke bekend geworden is met hun overlijden.

De persoonsgegevens van leden van het toezichthoudend orgaan worden verwijderd twee jaar nadat de benoemingstermijn is geëindigd, tenzij andere wettelijke bepalingen het langer bewaren van (een aantal) van deze gegevens in een (geautomatiseerde) persoonsregistratie vereisen. Hierbij wordt aansluiting gezocht bij de bewaartermijnen die worden gehanteerd voor de persoonsgegevens van medewerkers.

(33)

De persoonsgegevens van bezoekers worden verwijderd uiterlijk zes maanden na de datum van het bezoek, tenzij de persoonsgegevens noodzakelijk zijn ter voldoening aan een wettelijke bewaarplicht.

Een overzicht van de gehanteerde (wettelijke) termijnen en de door de Vereniging gehanteerde termijnen is opgenomen in bijlage V. In geen geval worden deze gegevens langer bewaard dan enig wettelijk voorschrift vereist dan wel toestaat.

Alle gegevens die voor het doel van de persoonsregistratie niet meer nodig zijn, worden op last van de FG door de verantwoordelijke of de verwerker vernietigd, met inachtneming van het bepaalde in artikel 4 van dit reglement.

De FG is verantwoordelijk voor de vernietiging van deze gegevens.

(34)

Beveiliging en geheimhouding

De verantwoordelijke draagt zorg voor passende technische en organisatorische maatregelen ter voorkoming van verlies of onrechtmatige verwerking van persoonsgegevens.

De wijze van beveiliging van beveiliging van de persoonsgegevens is beschreven en toegelicht in bijlage VI.

Tevens hanteert de Vereniging een protocol voor het gebruik van ICT, e-mail, internet, en sociale media (bijlage XV). Deze regeling geeft de wijze aan waarop binnen de Stichting wordt omgegaan met informatie- en communicatietechnologie (hierna: ICT). Deze regeling omvat (gedrags)regels ten aanzien het gebruik van de ICT en geeft regels voor welke doeleinden en op welke wijze controle plaats vindt op dit gebruik.

Deze maatregelen garanderen, rekening houdend met de stand der techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau, gelet op de risico’s die de verwerking en de aard van de te beschermen gegevens met zich meebrengen.

De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.

Indien sprake is van digitale verwerking van persoonsgegevens zal de FG via een coderingsbeveiliging de verschillende functionarissen, als bedoeld in artikel 6, toegang geven tot bepaalde gedeelten van de persoonsgegevens of tot alle persoonsgegevens al naar gelang hun werkzaamheden dit vereisen.

Een ieder die betrokken is bij de uitvoering van dit reglement en daarbij de beschikking krijgt over persoonsgegevens waarvan hij het vertrouwelijke karakter kent of redelijkerwijs kan vermoeden en voor wie niet reeds uit hoofde van beroep, functie of wettelijk voorschrift ter zake van de persoonsgegevens een geheimhoudingsplicht geldt, is verplicht tot geheimhouding daarvan en tekent de geheimhoudingsverklaring die is opgenomen in bijlage VII. Dit geldt niet indien enig wettelijk voorschrift hem tot bekendmaking verplicht of uit zijn taak bij de uitvoering van dit reglement de noodzaak tot bekendmaking voortvloeit.

(35)

Beveiligingsincidenten

Indien zich binnen de organisatie van verantwoordelijke of bij een door de verantwoordelijke ingeschakelde verwerker een beveiligingsincident voordoet, waarbij een aanzienlijke kans bestaat op verlies of onrechtmatige verwerking van persoonsgegevens die door verantwoordelijke worden verwerkt, dan wel dit verlies of onrechtmatige verwerking zich daadwerkelijk voordoet, zal de verantwoordelijke daarvan melding doen bij de Autoriteit Persoonsgegevens en indien voorgeschreven op grond van de wet tevens aan betrokkenen.

Het vaststellen of sprake is van een datalek en of melding daarvan moet worden gedaan bij de Autoriteit Persoonsgegevens vindt plaats conform de voorschriften en werkwijzen die zijn opgenomen in het handboek en protocol Datalekken (bijlage VIII).

(36)

Informatieplicht

De verantwoordelijke informeert betrokkene over het verwerken van diens persoonsgegevens, voorafgaand aan de verzameling van de persoonsgegevens of, indien de gegevens van derden afkomstig zijn, voorafgaand aan het moment van vastlegging.

De verantwoordelijke informeert betrokkene over de persoonsgegevens die worden verwerkt, met welk doel dat gebeurt en aan wie de gegevens worden verstrekt door te verwijzen naar dit Privacyreglement dat op diens eerste verzoek zal worden verstrekt en tevens is geplaatst op de website van de verantwoordelijke.

(37)

Het bestuur

Het bestuur is verantwoordelijk voor de persoonsregistratie en is als zodanig verantwoordelijk voor de vaststelling en uitvoering van dit reglement.

In alle gevallen waarin dit reglement niet voorziet beslist het bestuur.

(38)

De functionaris gegevensbescherming (FG)

De FG houdt intern toezicht op de verwerking van persoonsgegevens. De FG is steeds een natuurlijk persoon, heeft voldoende kennis van de organisatie van de school en privacywetgeving en is gehouden aan een geheimhoudingsplicht. De FG is aangemeld bij de Autoriteit Persoonsgegevens en heeft – indien in dienst bij het bevoegd gezag - dezelfde ontslagbescherming als een lid van de medezeggenschapsraad.

De FG adviseert het bevoegd gezag inzake de toepassing van de Wbp e/of een eventuele gedragscode die voor de onderwijssector geldt. Tevens adviseert de FG over het passende niveau van beveiliging van de informatiehuishouding in de organisatie en over maatregelen die zijn gericht op het beperken van de verwerking van persoonsgegevens.

De FG inventariseert verwerkingsprocessen en oefent toezicht uit op deze processen met het oog op de nakoming van de meldingsverplichting aan de Autoriteit persoonsgegevens. Van meldingen legt de FG een bestand aan.

De FG behandelt klachten van betrokkenen die betrekking hebben op het gebruik van persoonsgegevens. De FG brengt jaarlijks verslag uit aan de verantwoordelijke van zijn werkzaamheden en bevindingen.

De controlebevoegdheden van de FG zijn neergelegd in een regeling.

De FG fungeert als intermediair tussen het bevoegd gezag en de Autoriteit Persoonsgegevens, die zich als een tweedelijnsorganisatie zal opstellen, zeker wanneer ook de behandeling van klachten over de verwerking van persoonsgegevens aan de FG is opgedragen.

(39)

De verwerker

De verwerkers zijn derden die op basis van een overeenkomst voor of namens het bevoegd gezag gegevens verwerken. Voor het bevoegd gezag zijn dit de organisaties en instellingen die zijn vermeld in bijlage IX.

De verwerker verwerkt de gegevens op de wijze zoals overeengekomen in een verwerkersovereenkomst (bijlage X), tenzij de verwerker die gegevens verwerkt bij het gebruik van leermiddelen, toetsen, school- en leerlinginformatiemiddelen (zoals gedefinieerd in artikel 1 sub f., sub g. en sub h. van de Model Verwerkersovereenkomst behorend bij het Convenant Digitale Onderwijsmiddelen). In dat geval verwerkt de verwerker de gegevens zoals voorgeschreven in de Model Verwerkersovereenkomst met inachtneming van de aanvullingen en wijzigingen zoals opgenomen in bijlage 3 behorend bij bijlage XI.

De verwerker is verantwoordelijk voor het juiste gebruik van de nodige voorzieningen om de bescherming van de persoonlijke levenssfeer van de personen van wie gegevens in de persoonsregistratie zijn opgenomen, in voldoende mate te waarborgen, zoals aangegeven en beschreven in de verwerkersovereenkomst.

De functionaris gegevensbescherming ziet erop toe dat de in het vorige lid bedoelde voorzieningen worden getroffen en in acht worden genomen.

(40)

Klachten

Indien de betrokkene van mening is dat de bepalingen van de Wbp zoals uitgewerkt in dit reglement niet door de instelling worden nageleefd dient hij/zij zich te wenden tot de FG.

Indien de ingediende klacht voor de betrokkene niet leidt tot een voor hem/haar acceptabel resultaat, kan hij zich wenden tot de Autoriteit Persoonsgegevens dan wel tot de rechter.

(Ouders/verzorgers van) leerlingen en medewerkers kunnen zich tevens wenden tot de externe klachtencommissie waarbij het bevoegd gezag is aangesloten. (Zie daarvoor de schoolgidsen en de websites)

(41)

Inwerkingtreding, wijziging en citeertitel

Dit reglement kan aangehaald worden als ‘Privacyreglement’ en treedt in werking op de datum vermeld op het titelblad.

Het reglement is vastgesteld door het bevoegd gezag en de gemeenschappelijke medezeggenschapsraad en vervangt eventuele vorige versies.

Het reglement zal periodiek worden geëvalueerd met de gemeenschappelijke medezeggenschapsraad en kan indien dit wordt gewenst of nodig is om de Wbp correct na te leven, worden gewijzigd, nadat instemming van de gemeenschappelijke medezeggenschapsraad is verkregen.

(42)

Artikelsgewijze toelichting ten behoeve van de implementatie van het reglement

Artikel 1. Begripsbepalingen

De meeste begripsbepalingen vloeien direct voort uit de Wet bescherming persoonsgegevens, de Wet op het Primair onderwijs, de Wet op de expertisecentra en de Handreiking versterking bestuurskracht van de Vereniging voor Gereformeerd Schoolonderwijs (VGS) .

Personeel

Personen in dienst van of werkzaam (geweest) voor de Vereniging: zij die ten behoeve van de Vereniging werkzaamheden verrichten of hebben verricht. Hieronder vallen niet alleen de personen die een akte van benoeming/aanstelling hebben, maar ook uitzendkrachten, stagiaires, vrijwilligers, personen die bij de Vereniging zijn gedetacheerd, ouders, oud- medewerkers, etc.

Persoonsgegevens

Alle gegevens die informatie kunnen verschaffen over een identificeerbare natuurlijke persoon zijn persoonsgegevens in de zin van de Wbp. De Wbp noemt de persoon wiens persoonsgegevens worden verwerkt de betrokkene.

Gegevens zijn persoonsgegevens als:

 De gegevens informatie bevatten over een natuurlijke persoon; en

 Die persoon identificeerbaar is.

De aard van sommige persoonsgegevens brengt met zich mee dat de verwerking ervan een grote inbreuk kan vormen op de persoonlijke levenssfeer van de betrokkene, omdat die gegevens gevoelige informatie over iemand verschaffen. De Wbp noemt deze gegevens bijzondere persoonsgegevens. Voor de verwerking van bijzondere persoonsgegevens geldt een strenger regime dan voor gewone persoonsgegevens. Bijzondere persoonsgegevens zijn alle persoonsgegevens die informatie verschaffen over iemands:

 godsdienst of levensovertuiging;

 ras;

 gezondheid;

 seksuele leven; en

 lidmaatschap van een vakvereniging.

(43)

Verder zijn bijzondere persoonsgegevens:

 strafrechtelijke persoonsgegevens; en

 persoonsgegevens over onrechtmatig of hinderlijk handelen waarvoor een verbod is opgelegd (bijvoorbeeld een straatverbod).

Het uitgangspunt van de Wbp is dat bijzondere persoonsgegevens niet mogen worden verwerkt. De Wbp kent een aantal algemene en een aantal specifieke uitzonderingen op dit verbod. Het verbod op het verwerken van gegevens over iemands godsdienst of levensovertuiging geldt bijvoorbeeld niet voor bijzondere scholen (artikel 17 Wbp).

Verwerking van persoonsgegevens

Het gaat er om of iemand enige feitelijke macht of invloed, al dan niet via een computersysteem, over de gegevens kan uitoefenen. Iemand moet een handeling met de gegevens kunnen verrichten. Als iemand geen macht of invloed kan uitoefenen op de persoonsgegevens, valt deze verwerking niet onder de Wbp.

Leerling- of personeelsnummer

Niet zijnde het Burger Service Nummer. Een nummer dat binnen de administratie verwijst naar de gegevens van één persoon en dat wordt gebruikt om die gegevens op effectieve en efficiënte wijze te kunnen raadplegen en verwerken.

Hiermee kan namelijk de persoonsgegevens die worden verwerkt van een persoon worden geminimaliseerd. Het leerlingen personeelsnummer kan dan dienen als koppelinstrument tussen de verschillende bestanden/verwerkingen zonder dat steeds de naam, etc. van de betrokkenen hoeft te worden verwerkt.

In dit model wordt als mogelijkheid genoemd gegevens te verwerken op basis van een personeels- en leerlingnummer. Het gebruik van een persoonsgebonden nummer kan ertoe bijdragen dat minder gegevens van betrokkenen hoeven te worden verwerkt en dat de toegang tot vertrouwelijke gegevens binnen en buiten de organisatie eveneens tot een minimum kan worden beperkt.

Deze gedachte ligt ook ten grondslag aan het wetsvoorstel ‘Pseudonimisering leerlinggegevens’. Met dit wetsvoorstel wordt het voor onderwijsinstellingen in alle sectoren mogelijk om het persoonsgebonden nummer van een onderwijsdeelnemer te gebruiken ten behoeve van het genereren van een pseudoniem voor deze onderwijsdeelnemer in het kader

(44)

van de toegang tot en het gebruik van digitale leermiddelen alsmede het digitaal afnemen van toetsen. Daarnaast voorziet het wetsvoorstel in een grondslag om voor andere doeleinden andere pseudoniemen te genereren.

Op dit moment geldt dat het gebruik van een uniek persoonsgebonden nummer gemeld moet worden bij de AP (artikel 27 Wbp). Reden daarvoor is dat een persoonsgebonden nummer een ‘sleutelfunctie’ heeft waarbij in het geval van datalekken risico bestaat op verlies en misbruik van vertrouwelijke gegevens.

Verantwoordelijke

De verantwoordelijke is het bevoegd gezag.

Verwerker

Hiermee wordt bijvoorbeeld een externe organisatie, bijvoorbeeld een arbodienst of een administratiekantoor bedoeld. Als besloten wordt om feitelijke handelingen met betrekking tot gegevensverwerking door een verwerker te laten verrichten, zal met die verwerker een relatie worden aangegaan. De Wbp stelt eisen aan de keuze van een verwerker en aan de manier waarop de relatie met die verwerker vastligt:

 De verwerker die wordt gekozen moet voldoende waarborgen bieden met betrekking tot de technische en organisatorische beveiliging;

 Er moet een overeenkomst met de verwerker worden gesloten of er wordt een andere regeling getroffen waardoor afdwingbare verbintenissen ontstaan;

 In de overeenkomst (of andere regeling) moet de verantwoordelijke bedingen dat de verwerker de persoonsgegevens uitsluitend verwerkt in opdracht van de verantwoordelijke;

 Er dient te worden bedongen dat de verwerker de beveiligingsverplichtingen nakomt die op de verantwoordelijke rusten op grond van de Wbp; en ten slotte

 Moet de verantwoordelijke daadwerkelijk toezien op naleving van deze beveiligingsverplichtingen. Ook het recht daartoe zal in de overeenkomst (of andere regeling) moeten worden vastgelegd.

De Wbp eist in artikel 14 dat de onderdelen die betrekking hebben op de bescherming van persoonsgegevens en op de beveiligingsmaatregelen, schriftelijk worden vastgelegd. De Wbp spreekt van een ‘bewerker’. Op 25 mei 2018 treedt de Algemene Verordening